さらに漏れでるConti

先日、Contiの情報が大量に漏洩しているというニュースがありました。
この時点で漏洩が確認されていたのは、内部でやりとりされているメッセージを含む多くのドキュメントでした。
資料の範囲はContiの活動が確認されているかなり当初の時期からのすべてを含んでおり、この意味で大きな話題となりました。

しかし、ニュースはそこで終わりませんでした。
別のものまで公開されてきています。
ずるずると公開されていったのは、次のようなものです。

• 内部でやりとりされているメッセージを含む多くのドキュメント
  2020年6月以降、107,000の内部メッセージを含む追加の148のJSONファイル
• C2の管理パネルのソースコード
• BazarBackdoor APIの情報
• ストレージサーバーのスクリーンショット
• Contiランサムウェアのソースコードのアーカイブ
  暗号化機構、復号化機構、コンパイルのために必要な情報、を含むソースコードのアーカイブです。

Contiランサムウェアのソースコードのアーカイブを漏洩させた人が漏洩したのはパスワード保護されたアーカイブでした。
しかしその後、別の研究者がこのパスワードを解析し公開しました。
これにより誰もがソースコードを閲覧可能な状態となりました。

研究者の視点で考えるとマルウェアの動的解析だけでは確認できない細かな機構を確認することができ、対策に役立つ重要な情報としてみることができます。
一方で他のマルウェアのソースコードの流出の際にもみられたように、犯罪者の視点もあります。
犯罪者の視点で考える場合、機能豊富なマルウェアのソースコードを参照することにより、別の新しいマルウェアを生み出す元とすることができます。
実際、他のマルウェアのソースコードの流出の際には、その後そのソースコードをもとにしたと考えられる多くの新しいマルウェアが確認されています。

犯罪者側の拡張はどんどん進みます。
防御側も継続的に対策に取り組んでいく必要がありそうです。

参考記事（外部リンク）：Conti Ransomware source code leaked by Ukrainian researcher
www.bleepingcomputer.com/news/security/conti-ransomware-source-code-leaked-by-ukrainian-researcher/